JP2013061994A - ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ - Google Patents
ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ Download PDFInfo
- Publication number
- JP2013061994A JP2013061994A JP2013000725A JP2013000725A JP2013061994A JP 2013061994 A JP2013061994 A JP 2013061994A JP 2013000725 A JP2013000725 A JP 2013000725A JP 2013000725 A JP2013000725 A JP 2013000725A JP 2013061994 A JP2013061994 A JP 2013061994A
- Authority
- JP
- Japan
- Prior art keywords
- virtual machine
- virus
- computer
- hardware
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】ウイルス対策をコンピュータがより快適に動作する環境で実現するための技術を提供する。
【解決手段】サーバー上に作成された仮想マシン130では、他の仮想マシン110及び120を管理するためのVM管理ソフトウェア131、及びウイルスの検出や駆除を行うウイルス対策ソフトウェア132が動作する。仮想マシン110及び120は、仮想マシンモニター140により、仮想マシン130を介してハードウェア150にアクセスさせる。そのような経路でハードウェア150にアクセスさせることにより、仮想マシン110及び120でウイルス対策ソフトウェア132をそれぞれ動作させる必要性を回避させつつ、高いセキュリティを実現させる。
【選択図】図1
【解決手段】サーバー上に作成された仮想マシン130では、他の仮想マシン110及び120を管理するためのVM管理ソフトウェア131、及びウイルスの検出や駆除を行うウイルス対策ソフトウェア132が動作する。仮想マシン110及び120は、仮想マシンモニター140により、仮想マシン130を介してハードウェア150にアクセスさせる。そのような経路でハードウェア150にアクセスさせることにより、仮想マシン110及び120でウイルス対策ソフトウェア132をそれぞれ動作させる必要性を回避させつつ、高いセキュリティを実現させる。
【選択図】図1
Description
本発明は、コンピュータへのウイルスの侵入に対応するための技術に関する。
コンピュータに侵入して何らかの被害を発生させるウイルスは、近年、感染が起こりやすくなっている。これは、広く普及した通信ネットワークがウイルスの感染経路となっているからである。このため、特に通信ネットワークを介したデータの送受信が可能なコンピュータでは、ウイルス対策は不可欠となっている。
基本的なウイルス対策は、ウイルスを除去するソフトウェアであるウイルス対策ソフトウェア(以降「対策ソフト」と略記)をコンピュータにインストールすることである。しかし、新種のウイルスには対応が困難であるため、対策ソフトを用いてもウイルスの感染は完全には予防できない。このことから、ウイルス対策に仮想マシン(VM:Virtual Machine)を用いることも行われている。
仮想マシンは、コンピュータの仮想化技術の一つである。仮想マシンでは、ハードウェア(リソース)を仮想化することにより、仮想化したハードウェア上で異なるプログラムを動作可能とする。仮想マシンを用いることで一台のコンピュータ上に複数のオペレーティングシステム(OS)を動作させることができる。各仮想マシン上のプログラムは、独立したアドレス空間で稼動し、相互に直接干渉しない。このため、或る仮想マシンがウイルスに感染しても、そのウイルスは他の仮想マシンには感染しない。ウイルスに感染していない仮想マシンは動作を継続させることができる。このようなことから、仮想マシンを用いることにより、ウイルスの感染による影響をより低減させることができる。
仮想マシンは個々に完全に独立した形で動作する1プログラム実行環境である。このため従来は、対策ソフトを用いる場合、対策ソフトは仮想マシン毎に用意していた。
対策ソフトは普通、定義ファイルを参照してウイルスを検出するようになっている。その定義ファイルには、各ウイルスのパターンデータが格納されている。このため、定義ファイルは「パターンファイル」とも呼ばれる。既に多くのウイルスが発見されていることから、今日では定義ファイルは膨大なデータ量となっている。このこともあり、仮想マシン毎に対策ソフトを導入する場合、対策ソフトによって消費されるリソースが非常に大きくなり、仮想化されたハードウェアへの負荷も重くなる。
消費するリソースがより大きくなる、ハードウェアの負荷がより重くなることは何れも、コンピュータが快適に動作する仕様をより高くさせる。コンピュータによりサービスを提供する場合には、提供するサービスの質を低下させるように作用する。
また、対策ソフトが実行されるとシステムの動作を不安定にさせる場合がある。定義ファイルは、次々と現れる新種のウイルスに対応するために頻繁に更新しなければならない。その更新はハードウェアへの負荷となり、通信ネットワークを介した更新用のデータの送受信はトラフィックを増大させる。これらも、コンピュータが快適に動作するのを阻害する。
このようなことから、ウイルス対策にはコンピュータをより快適に動作させるという視点も重要と考えられる。
福田 崇男,"怪しい"パソコンを安全に使う,日経コンピュータ,日経BP社,2004年5月31日,no.601,第19頁
本発明は、ウイルス対策をコンピュータがより快適に動作する環境で実現するための技術を提供することを目的とする。
本発明を適用した1システムでは、ハードウェアと接続されたコンピュータに、ウイルスの検出処理を実行する検出仮想計算機を動作させ、コンピュータ上で動作する他の仮想計算機のハードウェアに対するアクセスを、検出仮想計算機を経由して実行させ、検出仮想計算機に、検出仮想計算機を経由する、仮想計算機のハードウェアに対するアクセスを監視させる。
その監視により、他の仮想計算機に侵入したウイルスの検出、検出したウイルスの除去を検出仮想計算機に行わせる。そのようにして、仮想計算機毎に検出処理(ウイルス対策ソフトウェア)を実行させる必要性を回避させる。その必要性を回避させることにより、コンピュータ全体では検出処理のために消費されるリソースや負荷をより抑制できるようになる。この結果、コンピュータがより快適に動作する環境、及び高いセキュリティを実現できることとなる。
仮想計算機は、プログラムを実行させるプログラム実行環境である。検索処理は、検出仮想計算機とは異なるプログラム実行環境上で動作させても良い。例えば仮想計算機を管理する仮想マシンモニター(ハイパーバイザ)上で動作させても良い。仮想計算機とは異なるプログラム実行環境上で検出処理を動作させても、コンピュータがより快適に動作する環境、及び高いセキュリティを実現させることができる。
本発明を適用した場合には、ウイルス対策をコンピュータがより快適に動作する環境で実現させることができる。
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。
図1は、本実施形態によるコンピュータのシステム構成を示す図である。図1に示すシステム構成は、コンピュータの動作時の環境を表したものである。本実施形態は、例えばインターネット等の通信ネットワークを介して接続された端末装置のユーザーを対象にサービスを提供するサーバーとして用いられるコンピュータに本発明を適用したものである。以降、コンピュータを「サーバー」とも呼ぶ。
図1は、本実施形態によるコンピュータのシステム構成を示す図である。図1に示すシステム構成は、コンピュータの動作時の環境を表したものである。本実施形態は、例えばインターネット等の通信ネットワークを介して接続された端末装置のユーザーを対象にサービスを提供するサーバーとして用いられるコンピュータに本発明を適用したものである。以降、コンピュータを「サーバー」とも呼ぶ。
本実施形態では、サーバー上に複数の仮想マシンを作成し、サーバーに実行させるアプリケーション・プログラム(以降「アプリケーション」と略記)は何れかの仮想マシン上で動作させるようにしている。図1の110、120、及び130は、サーバー上に作成された仮想マシンである。仮想マシン110上では、例えばサーバー自身が管理しているファイルを通信ネットワーク上の他の端末装置と共有し、外部から利用可能とするファイルサービスを提供するアプリケーション111が動作する。仮想マシン120上では、WWW(World Wide Web)によるデータ送信を実現するアプリケーション121が動作する。仮想マシン130上では、他の仮想マシン、ここでは仮想マシン110及び120を管理するためのVM管理ソフトウェア(以降「管理ソフト」と略記)131、及びウイルスの検出や駆除を行うウイルス対策ソフトウェア(以降「対策ソフト」と略記)が動作する。
仮想マシンモニター(ハイパーバイザ)140は、仮想マシンの作成を行い、ハードウェア150の動的、透過的な仮想マシンへの割り当てを行う。それにより、1台の物理的なサーバー上で複数の仮想マシン110、120及び130が同時に動作するのを可能とさせる。各仮想マシン110、120及び130では、それぞれOS(オペレーティングシステム)が実行される。仮想マシン上で動作するOSはゲストOSと呼ばれる。ハードウェア150は、サーバーのリソースに相当する。
仮想マシン110は、ファイルサービスに対応したアプリケーション111が動作することにより、サーバーをファイルサーバーとして機能させる。このことから以降、110を付した仮想マシンは「ファイルサーバー」とも呼ぶことにする。120を付した仮想マシンは、Webサービスに対応したアプリケーション121によりサーバーをWEBサーバーとして機能させることから、以降「Webサーバー」とも呼ぶことにする。130を付した仮想マシンではVM管理ソフト131が動作することから、「ウイルス対策専用仮想マシン」とも呼ぶことにする。
図1中の矢印は、ファイルサーバー110、及びWebサーバー120がそれぞれハードウェア150にアクセスする際の経路を示している。つまりファイルサーバー110は、ファイルサーバー110→仮想マシンモニター140→ウイルス対策専用仮想マシン130→仮想マシンモニター140→ハードウェア150の経路でハードウェア150にアクセスする。Webサーバー120も同様に、Webサーバー120→仮想マシンモニター140→ウイルス対策専用仮想マシン130→仮想マシンモニター140→ハードウェア150の経路でハードウェア150にアクセスする。
本実施例では、上記のようなアクセス経路とすることにより、ウイルス対策専用仮想マシン130でのウイルスの検出や、ウイルス対策専用仮想マシン130が検出したウイルスの駆除を可能とさせている。言い換えれば、他の仮想マシン110及び120で対策ソフト132を動作させる必要性を回避させている。対策ソフト132を動作させない仮想マシン110及び120では、対策ソフト132を動作させることによって動作が不安定となることが回避される。また、対策ソフト132による仮想マシン110及び120のリソースの消費も回避される。これらのことから、各仮想マシンで対策ソフト132を動作させる場合と比較して、図1に示したシステムではサーバー全体でのリソースの消費は抑えられ、負荷が軽減されることとなる。この結果、高いセキュリティ、サーバーがより快適、且つ安定して動作する環境が共に実現される。
ウイルスは、対策ソフト132を攻撃する場合がある。しかし、対策ソフト132を動作させるウイルス対策専用仮想マシン130は、他の仮想マシン110及び120に侵入するウイルスに対応するための専用の仮想マシンとして作成している。このため、仮想マシン130にはウイルスの感染経路が存在しない。各仮想マシンは完全に独立した形となるため、たとえ他の仮想マシンがウイルスに感染したとしても、仮想マシン130上の対策ソフト132がウイルスに攻撃される危険は回避される。従って、対策ソフト132によるサーバーの監視が行える状態を維持させることができる。このことからも、高いセキュリティが実現される。
図7は、本発明の一実施形態を適用可能なコンピュータのハードウェア構成の一例を示す図である。
図7に示すコンピュータは、CPU71、メモリ72、入力装置73、出力装置74、外部記憶装置75、媒体駆動装置76、及びネットワーク接続装置77を有し、これらがバス78によって互いに接続された構成となっている。図7に示すコンピュータの構成は一例であり、これに限定されるものではない。
CPU71は、当該コンピュータ全体の制御を行う。
メモリ72は、プログラム実行、データ更新等の際に、外部記憶装置75あるいは可搬型の記録媒体MDに記憶されているプログラムあるいはデータを一時的に格納するRAM等のメモリである。CPU71は、プログラムをメモリ72に読み出して実行することにより、コンピュータ全体の制御を行う。
メモリ72は、プログラム実行、データ更新等の際に、外部記憶装置75あるいは可搬型の記録媒体MDに記憶されているプログラムあるいはデータを一時的に格納するRAM等のメモリである。CPU71は、プログラムをメモリ72に読み出して実行することにより、コンピュータ全体の制御を行う。
入力装置73は、例えば、キーボード、マウス等の操作装置と接続されたインターフェースである。操作装置に対するユーザーの操作を検出し、その検出結果をCPU71に通知する。
出力装置74は、例えば表示装置と接続された表示制御装置である。ネットワーク接続装置77は、例えばイントラネットやインターネット等の通信ネットワークを介して、外部装置と通信を行うためのものである。外部記憶装置75は、例えばハードディスク装置である。主に各種データやプログラムの保存に用いられる。
媒体駆動装置76は、光ディスクや光磁気ディスク等の可搬型の記録媒体MDにアクセスするものである。なお、媒体種別はこれらのものに限定されない。
図7に示す構成要素71〜77は、図1に示すハードウェア150に相当する。仮想マシンモニター140、各仮想マシン110、120及び130でそれぞれ実行されるプログラムは、例えば外部記憶装置75に格納されている。図1に示すシステム構成は、CPU71が仮想マシンモニター140をメモリ72に読み出して起動し、仮想マシンモニター140の制御で各仮想マシン110、120及び130用のプログラムをメモリ72に読み出して実行することで実現される。仮想マシンモニター140を含む各種プログラムは、記録媒体MDに記録して配布しても良く、或いはネットワーク接続装置77により取得できるようにしても良い。
以降、図2〜図4に示すフローチャート、並びに図5及び図6に示す説明図を参照して、サーバーの動作について詳細に説明する。
図2は、本実施形態によるサーバー全体の処理の流れを示す図である。図2に示した処理は、仮想マシンモニター140、及びウイルス対策専用仮想マシン130に着目して表したものである。
先ず、ステップS1では、仮想マシンを作成するためのセットアップ処理を実行する。このセットアップ処理は、仮想マシンモニター140によって実行される処理である。仮想マシンの作成は、予め定義された内容に従って自動的に行う。
図3は、S1に示したセットアップ処理のフローチャートである。ここで図3を参照して、セットアップ処理について詳細に説明する。
先ず、ステップS11では、仮想マシンモニター140がウイルス対策専用仮想マシン130の作成を行う。続くステップS12では、仮想マシンモニター140が他の仮想マシン、図1のシステム構成ではファイルサービスを提供する仮想マシン110やWebサービスを提供する仮想マシン120を作成する。そのようにして作成すべき仮想マシンを全て作成した後、図3のセットアップ処理を終了する。
図2の説明に戻る。
上記セットアップ処理の終了によって移行するステップS2では、仮想マシンモニター140は作成した各仮想マシンを稼動させる。各仮想マシンの稼動後はステップS3に移行する。ステップS3以降は、ウイルス対策専用仮想マシン130が実行する処理を表している。S3以降の処理は、仮想マシン130上で動作する管理ソフト131に着目して処理を表している。
上記セットアップ処理の終了によって移行するステップS2では、仮想マシンモニター140は作成した各仮想マシンを稼動させる。各仮想マシンの稼動後はステップS3に移行する。ステップS3以降は、ウイルス対策専用仮想マシン130が実行する処理を表している。S3以降の処理は、仮想マシン130上で動作する管理ソフト131に着目して処理を表している。
ステップS3では、仮想マシンモニター140から指示された形の仮想マシンのウイルスチェックを対策ソフト132に行わせる。続くステップS4では、ウイルスチェックの結果を対策ソフト132から受け取り、それぞれの仮想マシンがウイルスに感染しているか否か判定する。ウイルスチェックの結果、何らかのウイルスを対策ソフト132が検出した場合、S4の判定はYESとなり、ステップS5に移行して、検出したウイルスに対応するためのウイルス除去処理を実行した後、上記ステップS3に戻り、次のウイルスチェックに備える。そのようにして、常にウイルスに対応可能とする。一方、対策ソフト132がウイルスを検出しなかった場合には、S4の判定はNOとなり、ステップS3に戻る。
このようにして、ウイルス対策専用仮想マシン130は、必要に応じて随時、他の仮想マシンを対象にしたウイルスチェックや、検出したウイルスに対応するための処理を実行する。この結果、他の仮想マシンに対策ソフト132を導入しなくとも高いセキュリティが実現される。
図4は、ステップS5として実行されるウイルス除去処理のフローチャートである。図4を参照して、ウイルス除去処理について詳細に説明する。このウイルス除去処理は、VM管理ソフト131が実行する。
先ず、ステップS21では、仮想マシンモニター140を介して、ウイルスが発見された仮想マシンを一時停止させる。続くステップS21では、対策ソフト132が発見したウイルスが完全に除去可能か否か判定する。対策ソフト132から完全に除去可能であることが通知されていた場合、S21の判定はYesとなってステップS25に移行する。そうでない場合には、S21の判定はNoとなってステップS22に移行する。
ステップS25では、対策ソフト132にウイルスを除去させる。次のステップS26では、仮想マシンモニター140を介して、ウイルスを発見した仮想マシンの動作を再開させる。その後、このウイルス除去処理を終了する。
本実施形態では、各仮想マシン110及び120はその状態をスナップショットとして定期的に保存するようにさせている。ステップS21の判定がNoとなって移行するステップS22では、ウイルスを発見した仮想マシンをその状態の1つ前の状態を示すスナップショットを用いて、ウイルスが発見された仮想マシンをそのスナップショットを保存した時の状態に戻す。続くステップS23では、S22の処理で復元した仮想マシンを対策ソフト132によりスキャンさせる。
ステップS23の次に移行するステップS24では、対策ソフト132からスキャン結果を受け取り、1つ前のスナップショットに戻された仮想マシンがウイルスに感染しているか否か判定する。復元に用いたスナップショットを保存したときにすでに仮想マシンがウイルスに感染していた場合、S24の判定はYesとなって上記ステップS21に戻り、感染したウイルスが除去可能か否かの判定を行う。一方、1つ前のスナップショットに戻された仮想マシンがウイルスに感染していない場合には、S24の判定はNoとなり、上記ステップS26に移行して、復元した仮想マシンを再開させる。
このように本実施形態では、先ず最新のスナップショットを用いて復元した後の仮想マシンを対象にしたウイルスチェックを行い、実行したウイルスチェックで発見したウイルスが除去可能でなければ、更にその前に保存したスナップショットを用いた仮想マシンの復元を再度、行うようにしている。再度復元した仮想マシンに除去できないウイルスを発見すれば、更にその前に保存したスナップショットを用いた仮想マシンの復元を行う。これは、対策ソフト132がウイルスの検出に用いる定義ファイルは随時更新されており、過去の定義ファイルでは発見できなかったウイルスが、定義ファイルの更新によって発見可能になっていることがあるからである。このため、本実施形態ではウイルス除去をより効果的に実行することが可能となる。
保存したスナップショットの全てがウイルスに感染している場合もありうる。このことから、特には図示していないが、復元に用いるスナップショットが無くなったか否か、或いは所定回数の仮想マシンの復元を行ったか否かの判定も、ステップS24で行うことができる。それにより、復元に用いるスナップショットが無くなった、或いは所定回数の仮想マシン復元を行った場合には、ウイルスを発見した仮想マシンを再開させることなく、ウイルス除去処理を終了するようにしている。
図5は、仮想マシンの状態遷移を説明する図である。図5中、黒丸からの矢印は、初期状態を示している。つまり停止状態ST1は初期状態であることを示している。
仮想マシンは、図5に示すように、起動によって初期状態である停止状態ST1から実行状態ST2に遷移し、一時停止によって実行状態ST2から一時停止状態ST3に遷移する。仮想マシンの再開により、一時停止状態ST3から実行状態ST2に遷移し、停止によって実行状態ST2から停止状態ST1に遷移する。上記ウイルス除去処理を実行することにより管理ソフト131は、停止状態ST1から実行状態ST2への遷移以外の遷移を管理する。
そのような状態遷移を管理するために、管理ソフト131は図6に示す構成の管理表を用いている。図6に示す管理表には、仮想マシン毎に仮想マシンを一意に識別できる名称である「VM名」を設定している。また、仮想マシン毎に、現在の状態を示すデータ「状態」が格納される。例えば、「ファイルサーバー」は「実行状態」、「Webサーバー」は「一時停止状態」にあることが、図6の管理表に示されている。管理ソフト131は、この管理表を参照して、仮想マシンの現在の状態を確認し、次に仮想マシンを遷移させるべき状態を決定する。この管理表は、ウイルス対策専用仮想マシン130用に割り当てられたアドレス空間ウェア内に格納されている。なお、ウイルス対策専用仮想マシン130用に割り当てられたアドレス空間に対応するハードウェアは、例えば外部記憶装置75である。
本実施形態は、1台の物理サーバーに本発明を適用したものであるが、2台以上の物理コンピュータを用いて構築されたコンピュータシステムでも本発明は適用可能である。このこともあり、本発明は幅広くコンピュータに適用することが可能である。その適用は、本実施形態に限定されるものではない。
また、本実施形態は、対策ソフト132を専用の仮想マシン130上で動作させたものであるが、対策ソフト132を仮想マシンモニター140上で動作させることも可能である。図8は、対策ソフト132を仮想マシンモニター140上で動作させる場合のコンピュータのシステム構成を示す図である。図8に示すように、対策ソフト132はVM管理ソフト131と共に仮想マシンモニター140上で動作させることから、仮想マシン130は作成させず、仮想マシン110及び120のみ作成している。各仮想マシン110及び120のハードウェア150へのアクセスは、仮想マシンモニター140のみを介して行われる。
以上の変形例を含む実施形態に関し、更に以下の付記を開示する。
(付記1)
コンピュータに侵入するウイルスに対応するためのウイルス対策方法であって、
コンピュータ上に生成された、アプリケーション・プログラムを実行させる1つ以上の第1の仮想マシンの状態を、前記ウイルスを検出して除去するウイルス対策ソフトウェアを実行させる第2の仮想マシンにより監視するとともに、
前記第1の仮想マシンの状態をスナップショットとして定期的に保存し、
前記第2の仮想マシン上で実行する前記ウイルス対策ソフトウェアがウイルスを検出した場合、該ウイルスを検出した第1の仮想マシンを停止させ、
停止させた第1の仮想マシンのスナップショットを用いて、該スナップショットを保存したときの第1の仮想マシンの状態を復元することを特徴とする、ウイルス対策方法。
(付記2)
前記ウイルス対策方法において、
前記第1仮想マシンの停止は、前記ウイルス対策ソフトウェアが検出したウイルスが除去できないものであった場合に実行されることを特徴とする、付記2に記載のウイルス対策方法。
(付記3)
前記スナップショットを用いて復元した第1の仮想マシンは、前記第2の仮想マシンの前記ウイルス対策ソフトウェアにより前記ウイルスの検出を行わせる、ことを特徴とする請求項1記載のウイルス対策方法。
(付記4)
前記復元した第1の仮想マシンから除去できない前記ウイルスを前記ウイルス対策ソフトウェアが検出した場合に、該第1の仮想マシンの復元に用いたスナップショットよりも前に保存したスナップショットにより該第1の仮想マシンの再度の復元を行う、ことを特徴とする付記3記載のウイルス対策方法。
(付記5)
コンピュータに侵入するウイルスに対応するためのウイルス対策方法であって、
コンピュータ上に生成された、アプリケーション・プログラムを実行させる1つ以上の仮想マシンの状態を、前記ウイルスを検出して除去するウイルス対策ソフトウェアを該仮想マシンとは異なるプログラム実行環境上で動作させて監視するとともに、
前記仮想マシンの状態をスナップショットとして定期的に保存し、
前記ウイルス対策ソフトウェアがウイルスを検出した場合、該ウイルスを検出した仮想マシンを停止させ、
停止させた仮想マシンのスナップショットを用いて、該スナップショットを保存したときの仮想マシンの状態を復元することを特徴とする、ウイルス対策方法。
(付記6)
アプリケーション・プログラムを実行させる1つ以上の第1の仮想マシン、及びウイルスを検出して除去するウイルス対策ソフトウェアを実行させる第2の仮想マシンを作成する作成手段と、
前記第1、及び第2の仮想マシンを動作させ、該第2の仮想マシンに該第1の仮想マシンの動作を監視させる監視制御手段と、
を具備することを特徴とするコンピュータ。
(付記7)
前記第1の仮想マシンの状態をスナップショットとして定期的に保存する保存手段と、
前記第2の仮想マシン上で実行する前記ウイルス対策ソフトウェアにより除去できないウイルスを検出した場合に、該ウイルスを検出した前記第1の仮想マシンを一時的に停止させ、該第1の仮想マシンのスナップショットを用いて該スナップショットを保存した時の状態を復元する復元手段と、
を更に具備することを特徴とする付記6記載のコンピュータ。
(付記8)
前記監視制御手段は、前記スナップショットを用いて復元した第1の仮想マシンを対象に前記第2の仮想マシンの前記ウイルス対策ソフトウェアに前記ウイルスの検出を行わせる、
ことを特徴とする付記7記載のコンピュータ。
(付記9)
前記監視制御手段は、前記ウイルス対策ソフトウェアが前記第1の仮想マシンから除去できない前記ウイルスを検出した場合に、該第1の仮想マシンの復元に用いたスナップショットよりも前に保存したスナップショットによる該第1の仮想マシンの再度の復元を前記復元手段に行わせる、
ことを特徴とする付記7、または8記載のコンピュータ。
(付記10)
コンピュータに、
前記コンピュータ上に作成された仮想マシンに除去できないウイルスを検出した場合に、該仮想マシンを一時的に停止させ、該仮想マシンのスナップショットを用いて該スナップショットを保存したときの状態に該仮想マシンを復元させる復元制御機能と、
前記復元制御機能により復元した仮想マシンを対象に前記ウイルスの検出を行わせる検出制御機能と、
を実現させるためのプログラム。
(付記11)
前記検出制御機能は、前記復元した仮想マシンから除去できない前記ウイルスを検出した場合に、該復元に用いたスナップショットよりも前に保存したスナップショットによる復元を前記復元制御機能により再度、行わせる、
ことを特徴とする付記10記載のプログラム。
(付記12)
アプリケーション・プログラムを実行させる1つ以上の仮想マシンを作成し、ウイルスを検出して除去するウイルス対策ソフトウェアを該仮想マシンとは異なるプログラム実行環境上で実行させる作成手段と、
前記仮想マシンを動作させ、該仮想マシンをウイルス対策ソフトウェアにより監視させる監視制御手段と、
を具備することを特徴とするコンピュータ。
(付記1)
コンピュータに侵入するウイルスに対応するためのウイルス対策方法であって、
コンピュータ上に生成された、アプリケーション・プログラムを実行させる1つ以上の第1の仮想マシンの状態を、前記ウイルスを検出して除去するウイルス対策ソフトウェアを実行させる第2の仮想マシンにより監視するとともに、
前記第1の仮想マシンの状態をスナップショットとして定期的に保存し、
前記第2の仮想マシン上で実行する前記ウイルス対策ソフトウェアがウイルスを検出した場合、該ウイルスを検出した第1の仮想マシンを停止させ、
停止させた第1の仮想マシンのスナップショットを用いて、該スナップショットを保存したときの第1の仮想マシンの状態を復元することを特徴とする、ウイルス対策方法。
(付記2)
前記ウイルス対策方法において、
前記第1仮想マシンの停止は、前記ウイルス対策ソフトウェアが検出したウイルスが除去できないものであった場合に実行されることを特徴とする、付記2に記載のウイルス対策方法。
(付記3)
前記スナップショットを用いて復元した第1の仮想マシンは、前記第2の仮想マシンの前記ウイルス対策ソフトウェアにより前記ウイルスの検出を行わせる、ことを特徴とする請求項1記載のウイルス対策方法。
(付記4)
前記復元した第1の仮想マシンから除去できない前記ウイルスを前記ウイルス対策ソフトウェアが検出した場合に、該第1の仮想マシンの復元に用いたスナップショットよりも前に保存したスナップショットにより該第1の仮想マシンの再度の復元を行う、ことを特徴とする付記3記載のウイルス対策方法。
(付記5)
コンピュータに侵入するウイルスに対応するためのウイルス対策方法であって、
コンピュータ上に生成された、アプリケーション・プログラムを実行させる1つ以上の仮想マシンの状態を、前記ウイルスを検出して除去するウイルス対策ソフトウェアを該仮想マシンとは異なるプログラム実行環境上で動作させて監視するとともに、
前記仮想マシンの状態をスナップショットとして定期的に保存し、
前記ウイルス対策ソフトウェアがウイルスを検出した場合、該ウイルスを検出した仮想マシンを停止させ、
停止させた仮想マシンのスナップショットを用いて、該スナップショットを保存したときの仮想マシンの状態を復元することを特徴とする、ウイルス対策方法。
(付記6)
アプリケーション・プログラムを実行させる1つ以上の第1の仮想マシン、及びウイルスを検出して除去するウイルス対策ソフトウェアを実行させる第2の仮想マシンを作成する作成手段と、
前記第1、及び第2の仮想マシンを動作させ、該第2の仮想マシンに該第1の仮想マシンの動作を監視させる監視制御手段と、
を具備することを特徴とするコンピュータ。
(付記7)
前記第1の仮想マシンの状態をスナップショットとして定期的に保存する保存手段と、
前記第2の仮想マシン上で実行する前記ウイルス対策ソフトウェアにより除去できないウイルスを検出した場合に、該ウイルスを検出した前記第1の仮想マシンを一時的に停止させ、該第1の仮想マシンのスナップショットを用いて該スナップショットを保存した時の状態を復元する復元手段と、
を更に具備することを特徴とする付記6記載のコンピュータ。
(付記8)
前記監視制御手段は、前記スナップショットを用いて復元した第1の仮想マシンを対象に前記第2の仮想マシンの前記ウイルス対策ソフトウェアに前記ウイルスの検出を行わせる、
ことを特徴とする付記7記載のコンピュータ。
(付記9)
前記監視制御手段は、前記ウイルス対策ソフトウェアが前記第1の仮想マシンから除去できない前記ウイルスを検出した場合に、該第1の仮想マシンの復元に用いたスナップショットよりも前に保存したスナップショットによる該第1の仮想マシンの再度の復元を前記復元手段に行わせる、
ことを特徴とする付記7、または8記載のコンピュータ。
(付記10)
コンピュータに、
前記コンピュータ上に作成された仮想マシンに除去できないウイルスを検出した場合に、該仮想マシンを一時的に停止させ、該仮想マシンのスナップショットを用いて該スナップショットを保存したときの状態に該仮想マシンを復元させる復元制御機能と、
前記復元制御機能により復元した仮想マシンを対象に前記ウイルスの検出を行わせる検出制御機能と、
を実現させるためのプログラム。
(付記11)
前記検出制御機能は、前記復元した仮想マシンから除去できない前記ウイルスを検出した場合に、該復元に用いたスナップショットよりも前に保存したスナップショットによる復元を前記復元制御機能により再度、行わせる、
ことを特徴とする付記10記載のプログラム。
(付記12)
アプリケーション・プログラムを実行させる1つ以上の仮想マシンを作成し、ウイルスを検出して除去するウイルス対策ソフトウェアを該仮想マシンとは異なるプログラム実行環境上で実行させる作成手段と、
前記仮想マシンを動作させ、該仮想マシンをウイルス対策ソフトウェアにより監視させる監視制御手段と、
を具備することを特徴とするコンピュータ。
110、120、130 仮想マシン
111、121 アプリケーション・プログラム
131 VM管理ソフトウェア
132 ウイルス対策ソフトウェア
140 仮想マシンモニター
150 ハードウェア
111、121 アプリケーション・プログラム
131 VM管理ソフトウェア
132 ウイルス対策ソフトウェア
140 仮想マシンモニター
150 ハードウェア
本発明を適用した1システムでは、検出仮想計算機が動作するコンピュータに、検出仮想計算機上で、ウイルスの検出処理を実行させ、コンピュータ上で動作する他の仮想計算機による、コンピュータを経由したハードウェアに対するアクセスを、検出仮想計算機を経由して実行させ、検出仮想計算機に、検出仮想計算機を経由する、仮想計算機のハードウェアに対するアクセスを監視させる。
Claims (3)
- ハードウェアと接続されたコンピュータに、
ウイルスの検出処理を実行する検出仮想計算機を動作させ、
前記コンピュータ上で動作する他の仮想計算機の前記ハードウェアに対するアクセスを、前記検出仮想計算機を経由して実行させ、
前記検出仮想計算機に、前記検出仮想計算機を経由する、前記仮想計算機の前記ハードウェアに対するアクセスを監視させる、
ことを特徴とするウイルス検出プログラム。 - コンピュータ上で動作する仮想計算機が、前記コンピュータ上で動作する仮想計算機であってウイルスの検出処理を実行する検出仮想計算機を経由して、前記コンピュータと接続されたハードウェアに対してアクセスし、
前記検出仮想計算機が、前記検出仮想計算機を経由する、前記仮想計算機の前記ハードウェアに対するアクセスを監視する、
ことを特徴とするウイルス検出方法。 - ハードウェアと接続されたコンピュータであって、
ウイルスの検出処理を実行する検出仮想計算機を動作させる動作制御部と、
前記コンピュータ上で動作する他の仮想計算機の前記ハードウェアに対するアクセスを、前記検出仮想計算機を経由して実行させるアクセス制御部と、を備え、
前記動作制御部は、前記検出仮想計算機に、前記検出仮想計算機を経由する、前記仮想計算機の前記ハードウェアに対するアクセスを監視させる、
ことを特徴とするコンピュータ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013000725A JP2013061994A (ja) | 2013-01-07 | 2013-01-07 | ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013000725A JP2013061994A (ja) | 2013-01-07 | 2013-01-07 | ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008208568A Division JP5446167B2 (ja) | 2008-08-13 | 2008-08-13 | ウイルス対策方法、コンピュータ、及びプログラム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014182781A Division JP2014225302A (ja) | 2014-09-08 | 2014-09-08 | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013061994A true JP2013061994A (ja) | 2013-04-04 |
Family
ID=48186537
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013000725A Pending JP2013061994A (ja) | 2013-01-07 | 2013-01-07 | ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2013061994A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015088195A1 (ko) * | 2013-12-09 | 2015-06-18 | 소프트캠프(주) | 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템 |
| JP2016149131A (ja) * | 2015-02-13 | 2016-08-18 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | 仮想マシンイントロスペクションを通じたセキュリティ事象検出方法、装置、及び有形コンピュータ可読記憶媒体 |
| JP2019109828A (ja) * | 2017-12-20 | 2019-07-04 | 株式会社Seltech | 通信装置保護プログラム |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002544620A (ja) * | 1999-05-19 | 2002-12-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 論理区分化コンピュータのイベント・ドリブン通信インタフェース |
| JP2003216445A (ja) * | 2002-01-23 | 2003-07-31 | Hitachi Ltd | コンピュータウイルスのチェック方法 |
| JP2003256234A (ja) * | 2002-03-05 | 2003-09-10 | Communication Research Laboratory | 抗脆弱性サーバ装置及びソフトウェア |
| JP2003258795A (ja) * | 2002-02-28 | 2003-09-12 | Hitachi Ltd | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム |
| JP2006178934A (ja) * | 2004-12-21 | 2006-07-06 | Microsoft Corp | 自己回復デバイスのための方法およびシステム |
| JP2006178936A (ja) * | 2004-12-21 | 2006-07-06 | Microsoft Corp | 仮想マシンまたは強化オペレーティングシステムなどにおけるコンピュータのセキュリティ管理 |
| JP2006252565A (ja) * | 2005-03-11 | 2006-09-21 | Microsoft Corp | 仮想マシン環境におけるマルチレベルインターセプト処理のためのシステムおよび方法 |
| JP2007199889A (ja) * | 2006-01-25 | 2007-08-09 | Hitachi Ltd | ストレージシステム、記憶制御装置及び記憶制御装置のリカバリポイント検出方法 |
| JP2007213465A (ja) * | 2006-02-13 | 2007-08-23 | Hitachi Ltd | 計算機の制御方法、プログラム及び仮想計算機システム |
| JP2008097602A (ja) * | 2006-10-10 | 2008-04-24 | Internatl Business Mach Corp <Ibm> | 仮想マシンのための多数コンフィギュレーションによる通信管理のためのシステム、方法、およびプログラム |
| JP2008523511A (ja) * | 2004-12-10 | 2008-07-03 | インテル コーポレイション | 仮想マシン・モニタの構成部分を特権化解除するためのシステム及び方法 |
-
2013
- 2013-01-07 JP JP2013000725A patent/JP2013061994A/ja active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002544620A (ja) * | 1999-05-19 | 2002-12-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 論理区分化コンピュータのイベント・ドリブン通信インタフェース |
| JP2003216445A (ja) * | 2002-01-23 | 2003-07-31 | Hitachi Ltd | コンピュータウイルスのチェック方法 |
| JP2003258795A (ja) * | 2002-02-28 | 2003-09-12 | Hitachi Ltd | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム |
| JP2003256234A (ja) * | 2002-03-05 | 2003-09-10 | Communication Research Laboratory | 抗脆弱性サーバ装置及びソフトウェア |
| JP2008523511A (ja) * | 2004-12-10 | 2008-07-03 | インテル コーポレイション | 仮想マシン・モニタの構成部分を特権化解除するためのシステム及び方法 |
| JP2006178934A (ja) * | 2004-12-21 | 2006-07-06 | Microsoft Corp | 自己回復デバイスのための方法およびシステム |
| JP2006178936A (ja) * | 2004-12-21 | 2006-07-06 | Microsoft Corp | 仮想マシンまたは強化オペレーティングシステムなどにおけるコンピュータのセキュリティ管理 |
| JP2006252565A (ja) * | 2005-03-11 | 2006-09-21 | Microsoft Corp | 仮想マシン環境におけるマルチレベルインターセプト処理のためのシステムおよび方法 |
| JP2007199889A (ja) * | 2006-01-25 | 2007-08-09 | Hitachi Ltd | ストレージシステム、記憶制御装置及び記憶制御装置のリカバリポイント検出方法 |
| JP2007213465A (ja) * | 2006-02-13 | 2007-08-23 | Hitachi Ltd | 計算機の制御方法、プログラム及び仮想計算機システム |
| JP2008097602A (ja) * | 2006-10-10 | 2008-04-24 | Internatl Business Mach Corp <Ibm> | 仮想マシンのための多数コンフィギュレーションによる通信管理のためのシステム、方法、およびプログラム |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015088195A1 (ko) * | 2013-12-09 | 2015-06-18 | 소프트캠프(주) | 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템 |
| JP2016149131A (ja) * | 2015-02-13 | 2016-08-18 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | 仮想マシンイントロスペクションを通じたセキュリティ事象検出方法、装置、及び有形コンピュータ可読記憶媒体 |
| JP2019109828A (ja) * | 2017-12-20 | 2019-07-04 | 株式会社Seltech | 通信装置保護プログラム |
| JP7041506B2 (ja) | 2017-12-20 | 2022-03-24 | 積水ハウス株式会社 | 通信装置保護プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5446167B2 (ja) | ウイルス対策方法、コンピュータ、及びプログラム | |
| CN110651269B (zh) | 隔离的容器事件监视 | |
| US11347542B2 (en) | Data migration method and apparatus | |
| JP5904514B1 (ja) | 仮想マシンのスナップショットに対して更新を自動的に適用する方法、並びに、そのコンピュータ・システム及びコンピュータ・システム用プログラム | |
| JP4406627B2 (ja) | 仮想マシンまたは強化オペレーティングシステムなどにおけるコンピュータのセキュリティ管理 | |
| JP5826298B2 (ja) | 仮想デスクトップインフラストラクチャにおいてチェックアウトした仮想マシンを保護する技術 | |
| JP5440273B2 (ja) | スナップショット管理方法、スナップショット管理装置、及びプログラム | |
| JP6059812B2 (ja) | セキュリティ脆弱性を検出するための技術 | |
| JP5873489B2 (ja) | ゲスト仮想機械とやり取りするための方法およびシステム | |
| US8707417B1 (en) | Driver domain as security monitor in virtualization environment | |
| JP2013545208A (ja) | 仮想マシンのアンチ・マルウェア保護 | |
| JP2005327239A (ja) | セキュリティ関連プログラミング・インターフェース | |
| JP5191849B2 (ja) | 仮想マシンセキュリティ管理システム及び仮想マシンセキュリティ管理方法 | |
| JP2014071796A (ja) | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム | |
| US20180137274A1 (en) | Malware analysis method and storage medium | |
| US11606392B2 (en) | System for tuning a device having security software for security and performance | |
| US20220159036A1 (en) | Malicious packet filtering in a virtualization system | |
| US10382456B2 (en) | Remote computing system providing malicious file detection and mitigation features for virtual machines | |
| JP2014225302A (ja) | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ | |
| JP2013061994A (ja) | ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ | |
| US20170331857A1 (en) | Non-transitory recording medium storing data protection program, data protection method, and data protection apparatus | |
| US10528375B2 (en) | Maintaining security system information in virtualized computing environments | |
| CN110049065B (zh) | 安全网关的攻击防御方法、装置、介质和计算设备 | |
| CN108459899B (zh) | 信息保护方法及装置 | |
| JP5962128B2 (ja) | 接続管理装置、接続管理方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130206 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130206 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140304 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140507 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140708 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140908 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140930 |